Aide contre Trojan.Generic.4724019 et wlcomn.exe

Produisez un diagnostique complet du PC.

Téléchargez sur votre bureau ZHPDiag (de Coolman).

Avec XP :
• Lancer ZHPDiag.exe par un double-clique

Avec Vista/Win7 :
• Lancer ZHPDiag.exe par un clic-droit → Exécuter en tant qu'Adm..

…………..Le rapport ZHPDiag.txt va s'ouvrir..



Au lieu de poster ce rapport "trop volumineux" direct sur le forum.

► Poster le avec l'hébergeur CJoint - tuto.

l'analyse bitdefender est terminé, par contre il y a deux fichiers qu'il n'arrive pas à supprimer.
il s'agit de Backdoor.Generic.339980 et Trojan.Generic.2882230

voilà le rapport de ZHPDiag réalisé après le scan de mon AV: http://cjoint.com/?jnsBHThqDA

merci

Lancer ZHPFix.exe par un clic-droit → Exécuter en tant qu'adm..
• Cliquez sur le bouton [H].
• Copiez/collez la Citation dans la fenêtres de ZHPFix,
• Cliquez sur [OK]
• Cliquez sur [Tous] et sur [Nettoyer],
► Redémarrer le PC.

► Vous posterez le rapport.

==========================================

• Telechargez UsbFix de C_XX & Chiquitine29,

/|\ Branchez tout vos périphériques USB externes, /|\

• Lancez UsbFix
• Sélectionnez l'option [Recherche]

.. Laisse le aller, le rapport apparaîtra,
► Postez le rapport UsbFix.txt ( C:\UsbFix.txt ).

P.S.:
"Process.exe"; une composante de l'outil, est détecté par certains antivirus.
Il ne s'agit pas d'un virus, mais d'un module d’USBFix.
=========================================

Vérification de répertoires suspects.
• Aller dans Démarrer → Tout les programmes → Accessoires ..
• Ouvrez l'invité de commandes par un clic-droit sur → Exécuter en tant qu'adm..
• Copier/coller(par un clic-droit) les commandes suivantes et valider pour chacune :

Dir /a /s "C:\ProgramData\Menu D*marrer" >> C:\rapDir.txt
Dir /a /s "C:\ProgramData\Mod*les" >> C:\rapDir.txt
Start notepad C:\rapDir.txt


► Poster le rapport C:\rapDir.txt qui va s'ouvrir.

=========================================

Mises à jours Logiciels.
Important pour prévenir les failles de sécurités des logiciels qui ont accès à Internet.

• Adobe : http://www.adobe.com/fr/products/acrobat/readstep2.html
• Java : http://www.java.com/fr/

Vous ferez Sumo après la désinfection..
• Faites les mise à jours proposées par Sumo Lite.
► À vérifier aux 30jours.

Utilisation de Sumo Lite.
Éviter d'installer la mise à jours de la version de Sumo non Lite. Qui contient un genre d'Adware. Pratique très courante par les éditeurs, pour rentabiliser leurs produits offerts gratuitement. En s'associant à une Régie publicitaire.

• Appuyer sur [Scan] et ensuite [Vérifier]
• Les icônes dans la colonne de gauche, montrent les m-à-j majeures ou mineures.
• Vous pouvez accéder aux téléchargements des mises à jours des logiciels, en double-cliquant sur leurs lignes. Arrivé sur le site de Sumo, même si les téléchargements depuis Sumo étaient sécuritaires. Toujours favoriser de télécharger un logiciel depuis le site de son éditeur ! Le quel site est accessible sur la page de Sumo.
==================================================


► Relancer ZHPDiag et poser un nouveau rapport.

voilà j'ai lancé ZHPFix comme indiqué et redemarré le pc.
j'ai relancé ZHPDiag et voilà le rapport : http://cjoint.com/?jnxx7FlWGI

dois-je continuer la suite des manipulations?
mon pc est stable apparement. mon antivirus cesse les alertes.

merci beaucoup!

ZHPFix ne peut avoir été fait, avant que ce nouveau rapport de ZHPDiag ait été fait. Parce que ce rapport ZHPDiag(fait à 23:16:50) qui vient d'être placé. Montre exactement les même infections, que le 1ier rapport placé(fait à 18:22:41).

À moins qu'il s'agisse d'une +-petite infection. Et que cette +-petite infection, entre dans le rayon des infections gérées par l'antivirus de service. Un antivirus ne désinfectera jamais complètement un ordi. Et ça peut importe l'antivirus de service qui est en place. Ou ce, même si l'utilisateur, utilise plusieurs autre scanner consécutivement.

Tout ce que sait faire un antivirus. Est des détecter des fichiers qui ont déjà été répertoriés comme infection ; selon leurs tailles, titre etc.
Après ça, il y aurait "supposément" le moteur de détection heuristique. Ça c'est le truc qui fait, entre autre, plein de fausse détections. Sauf quand, dans un très faible %, y détecte quelques choses de valable.

Bref.., bien que BitDefender ait désinfecté en parti l'infection qui affligeait votre ordi. Il y a encore plein de trucs, qui sans être très dangereux, ne sont pas recommandés. Et une infection du MBR, qui ne tardera pas à réinfecter l'ordi., quelques part après un ou quelques redémarrage.

Préférable de poster tout les rapports des procédures proposées, au message précédent.

bonjour,
j'ai repris depuis le début. alors j'ai lancé ZHPFix et voilà le rapport de suppression:
Rapport de ZHPFix v1.12.3149 par Nicolas Coolman, Update du 11/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-14-09-2010-17-39-30.txt
Run by MySa at 14/09/2010 17:39:30
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O40 - ASIC: (no name) - {83CJDALL-734U-TRQY-5S78-I30KOPLF3658} . (.Pas de propri?taire - Pas de description.) -- C:\Windows\WINDOWS\system32\wlcomn.exe => Clé absente
HKLM\Software\Viewpoint => Clé absente
O64 - Services: CurCS - (.not file.) - bd98126d (bd98126d) .(.Pas de propri?taire - Pas de description.) - LEGACY_BD98126D => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - c30eb9d0 (c30eb9d0) .(.Pas de propri?taire - Pas de description.) - LEGACY_C30EB9D0 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - c7b53909 (c7b53909) .(.Pas de propri?taire - Pas de description.) - LEGACY_C7B53909 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - d66514e6 (d66514e6) .(.Pas de propri?taire - Pas de description.) - LEGACY_D66514E6 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - e91f62f6 (e91f62f6) .(.Pas de propri?taire - Pas de description.) - LEGACY_E91F62F6 => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [HKLM] C:\Windows\WINDOWS\system32\wlcomn.exe (.not file.) => Valeur absente
O4 - HKCU\..\Run: [HKCU] C:\Windows\WINDOWS\system32\wlcomn.exe (.not file.) => Valeur absente
O4 - HKLM\..\policies\Explorer\Run: [Policies] C:\Windows\WINDOWS\system32\wlcomn.exe (.not file.) => Valeur absente
O4 - HKCU\..\policies\Explorer\Run: [Policies] C:\Windows\WINDOWS\system32\wlcomn.exe (.not file.) => Valeur absente
O4 - HKUS\S-1-5-21-2857671376-1577249231-3685839511-1000\..\Run: [HKCU] C:\Windows\WINDOWS\system32\wlcomn.exe (.not file.) => Valeur absente

========== Dossier(s) ==========
C:\Program Files\DAEMON Tools Toolbar => Supprimé et mis en quarantaine
C:\Program Files\Viewpoint => Dossier absent
C:\ProgramData\Viewpoint => Dossier absent

========== Fichier(s) ==========
c:\windows\windows\system32\wlcomn.exe => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O42 - Logiciel: Java 6 Update 5 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160050} => Logiciel non supprimé
O42 - Logiciel: Java 6 Update 7 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160070} => Logiciel non supprimé
O42 - Logiciel: Viewpoint Media Player - (.Pas de propri?taire.) [HKLM] -- ViewpointMediaPlayer => Logiciel déjà supprimé

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys hpdskflt.sys hal.dll iaStor.sys spma.sys >>UNKNOWN [0x86EE7938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x86f321f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :



























========== Récapitulatif ==========
7 : Clé(s) du Registre
5 : Valeur(s) du Registre
3 : Dossier(s)
1 : Fichier(s)
3 : Logiciel(s)
1 :Master Boot Record


End of the scan

le rapport usb fix : http://cjoint.com/?jorYR8TcaY

le rapport rapDir.txt : http://cjoint.com/?jor0Vqt88w

D'après le rapport de ZHPFix, il semblerait que devrez faire un FixMBR.

Tout de même, avez vous le CD "original" de Windows.
Sinon allez devoir utiliser/créer un CD de démarrage pour faire un FixMbr.

Je vous placerez le téléchargement et procédure pour créer le CD, après avoir vérifier le nouveau rapport de ZHPDiag.

- Relancez USBFix,
- tout les périphériques branchés
- Et sélectionner [Suppression]
>> Poster le rapport.

Ensuite vous le relancerez et sélectionnerez sa [Désinstallation].

je viens de faire "supprimer" dans USBfix et voilà le rapport : http://cjoint.com/?josNvfhgZg

sinon je n'ai pas le cd de windows car je suis un sur un pc portable. (vista)

dois je faire un fixMBR?

Le rapport de ZHPFix semble aller dans le sens, qu'un FixMBr sera nécessaire. Mais avant d'en arriver la. Validons ça avec un nouveau rapport "attendu" de ZHPDiag.

Et après, ..si nécessaire.
Ben y a une console de récupération WinRE, disponible pour version OEM sur cette page. Identique en tout points, à ce qu'a à offrir l'authentique console de Windows ! Et ça, en toute légalité ! La commande pour Vista / Win7, serait plutôt : Bootrec /FixMBR (← Réf).

voilà j'ai relancé ZHPDiag et voilà le rapport : http://cjoint.com/?jowfihruby

Le rapport de ZHPDiag montre et +que ça, suggère fortement de refaire le MBR.

Installer WinRE depuis le lien au message précédent.
Pour ensuite redémarrer sur le CD de WinRE.
Et depuis l'invité de commande, lancer ; Bootrec /FixMBR

j'ai téléchargé WinRE pour vista 32bit en français, puis j'ai gravé l'image sur un dvd avec power iso.

au redémarrage de windows, il m'a été demandé d'appuyer sur une touche pour lancer le cd-rom. ce que j'ai fait.

mais un message d'erreur est apparu:
"The file is possibly corrupt. The file header checksum does not match the compute checksum"

que faire? merci!

Peut-être essayer de re-graver l'image iso sur un beau Cd tout neuf !?

lol! bé c'était un beau cd tout neuf!
je vais réessayer et je te redis!

Effectivement, avec un beau cd tout neuf et une vitesse de gravure moins élevée, çà marche! Je n'ai plus eu ce problème de fichier corrompu!

J'ai fait comme indiqué, j'ai cliqué sur "réparer windows" puis "invite commande" dans la page options de récupération système.
Et j'ai tapé : Bootrec.exe/FixMbr
Il m'a indiqué : "opération réussie"

Donc c'est bon?

Ensuite j'ai redémarré windows.

Dois refaire un ZHPDiag?

Merci

rapport de ZHPDiag : http://cjoint.com/?jrkUEtnTJk

Y a toujours un problème avec les fichier en relation avec le MBR.
Pour de suite faites ce qui suit..

Téléchargezde ComboFix (sUBs).

/|\ Désactivez l’antivirus de service,
/|\ Fermez tous les applications, n'ouvrez aucun programmes,

• Double-cliquer sur Combofix et [Exécuter]
• Si vous utilisez Windows Vista, cliquer sur le bouton [Continuer],
• À la ’’Limitation de garantie du logiciel’’ → [Oui],
• Installez la ’’Console de récupération’’ → [Oui], ( <-- IMPORTANT)
• Attendre la fermeture de l’outil (plusieurs 10aines d’étapes).

/|\ Si ComboFix a besoin de redémarrer, laisser le aller.
/|\ Après que ComboFix soit lancé, ne pas cliquer dans sa fenêtre,

► Postez le rapport de ComboFix (C:\Combofix.txt).

/|\ Réactiver l'antivirus et autre protection /|\

c'est bon, j'ai effectué tte la procédure de Combofix.
voilà le rapport : http://cjoint.com/?jtuxyhkdJB

Aller supprimer ce fichier c:\programdata\nvModes.dat

Dans Démarrer -> Rechercher.., entrez Combofix /uninstall et valider,
Vérifierez pour supprimer des reste de C:\Combofix et/ou QooBox


Télécharger TDSSKiller.zip sur le bureau (de Kaspersky)

• Décompresser TDSSKiller.zip sur le bureau

/|\ Désactiver l'antivirus et autre protection. /|\
/|\ Fermer toute les applications/fenêtres /|\

• Aller dans Démarrer → Tout les programmes → Accessoires..
• Ouvrez l'invité de commande par un clic-droit →Exécuter en tant qu'Adm..
• Copier /coller(par un clic-droit) la ligne de commande suivante et valider :

"%userprofile%\Desktop\TDSSKiller.exe" -l C:\TDSSKiller.txt -v

.. patienter jusqu'à la fin de l'analyse.
.. TDSSKiller peut redémarrer le PC → appuyer sur [YES],
► Poster le rapport C:\TDSSKille.Version_date_Heure_log.txt.

/|\ Réactiver l'antivirus et autre protection. /|\

Bonjour,
j'ai supprimé le fichier nvModes.dat

par contre je n'ai pas réussi à désinstaller Combofix comme indiqué.

j'ai effectué l'analyse par TDSSKiller mais je ne suis pas passé par la ligne de commande qui n'a pas été reconnue...
j'ai double cliqué, puis j'ai lancé le scan.

voilà le rapport : http://cjoint.com/?jurNtGwtNS

en tout cas merci pour tout!